Большую часть семплов шифровальщиков загрузил на VirusTotal Израиль

Екатерина Быстрова 15 Октября 2021 - 13:46

Таргетированные атаки

...

Большую часть семплов шифровальщиков загрузил на VirusTotal Израиль

Google опубликовала исследование активности операторов программ-вымогателей, в котором упоминаются 80 миллинов проанализированных образцов этих вредоносных программ более чем из 140 стран. Согласно отчёту специалистов, больше всего семплов пришло из Израиля.

По данным (PDF) Google, в топ-10 стран, наиболее затронутых проблемой шифровальщиков, вошли Израиль, Южная Корея, Вьетнам, Китай, Сингапур, Индия, Казахстан, Филиппины, Иран и Великобритания.

В ходе исследования учитывались семплы вредоносов, загруженные на сервис VirusTotal. Например, Израиль с начала 2020 года загрузил больше всего образцов шифровальщиков. Причиной роста активности подобных атак, по мнению экспертов, стала деятельность группировки GandCrab.

Напомним, что эта группа предлагала программу-вымогатель в качестве услуги: другие злоумышленники могли брать зловред в аренду, оставлять себе часть прибыли, а другую часть отдавать авторам шифровальщика.

«GandCrab продемонстрировал невероятный скачок в первом квартале 2020 года. С тех пор киберпреступники лишь наращивали обороты. На самом деле, этот вымогатель активен по сей день, однако число свежих образцов уже не то», — отмечают представители VirusTotal.

В июле 2021 года новую волну атак шифровальщиков поднял Babuk, но он занял лишь второе место по количеству отправленных семплов. Таким образом, образцы GandCrab составили 78,5%, а Babuk и Cerber — 7,6 и 3,1% соответственно.

Согласно отчёту Google, 95% зафиксированных вредоносных семплов представляли собой исполняемые файлы или библиотеки для Windows. Всего 2% достались системе Android.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 12 Августа 2025 - 09:19

Трояны Домашние пользователи

Порносайты используют заражённые .svg-файлы как кликеры

Исследователи из Malwarebytes обнаружили новую волну злоупотреблений форматом .svg — на этот раз в исполнении десятков порносайтов. Они используют заражённые изображения, чтобы заставить браузеры пользователей тайно «лайкать» свои посты в Facebook (признан экстремистским и запрещён в России, как и корпорация Meta).

Схема работает так: посетителю показывают .svg-файл, и если он кликает по картинке, в браузере незаметно срабатывает JavaScript, который оформляет «лайк» нужной странице — при условии, что у пользователя открыт Facebook-аккаунт (признан экстремистским и запрещён в России).

Внутри этих .svg скрывается сильно запутанный код, замаскированный с помощью модифицированной техники JSFuck, которая превращает JavaScript в хаотичную «стену» символов.

При расшифровке выясняется, что скрипт подгружает ещё цепочку обфусцированного кода, а в финале — вредонос под названием Trojan.JS.Likejack. Он и выполняет автоматический клик по кнопке «Нравится» без ведома пользователя.

Malwarebytes отмечает, что все выявленные сайты работают на WordPress. Facebook (признан экстремистским и запрещён в России) такие фальшивые аккаунты и страницы периодически блокирует, но их администраторы быстро возвращаются с новыми профилями.

Это не первый случай злоупотребления .svg. Ранее киберпреступники задействовали SVG-файлы для кражи паролей от аккаунтов в Google и Microsoft.